ORSYS formation
NOUS CONTACTER - +33 (0)1 49 07 73 73
NOUS CONTACTER - 📞 +33 (0)1 49 07 73 73    espace pro ESPACE PRO     inscription formation orsys S'INSCRIRE     drapeau francais   drapeau anglais
Nos domaines de formation :
Toutes nos formations Synthèses et référentiels ISO, CISSP...

Formation Implémenter et gérer un projet ISO 27001:2013
préparation aux certifications

4,4 / 5
Séminaire
Best
Durée : 3 jours
Réf : ASE
Prix  2019 : 2680 € H.T.
Pauses et déjeuners offerts
Financements
CPF
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis vérifiés
Programme

La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l'information décrit, les bonnes pratiques à mettre en place pour qu'une organisation puisse maîtriser efficacement les risques liés à l'information. Ce cours présente les normes ISO de la sécurité du Système d'Information puis les éléments pour mettre en place un système de management (SMSI) du risque de la sécurité de l'information.

Objectifs pédagogiques

  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Expliquer le contenu et la corrélation entre ISO 27001 et 27002 ainsi qu’avec d’autres normes et cadres réglementaires
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Interpréter les exigences d’ISO 27001 dans le cadre de l’audit d’un SMSI

CPF

Ce cours associé à LED ou LAU est éligible au CPF, pour Lead Implementer avec le code formation 236644 pour Lead Auditor avec le code formation 237228

Travaux pratiques

Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor.
PROGRAMME DE FORMATION

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • Définitions : menace, vulnérabilité, protection.
  • La notion de risque (potentialité, impact, gravité).
  • La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
  • La gestion du risque (prévention, protection, report, externalisation).
  • Analyse de la sinistralité. Tendances. Enjeux.
  • Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l'ISO.
  • Vers la gouvernance IT, les liens avec ITIL® et l'ISO 20000.
  • L'apport de l'ISO pour les cadres réglementaires.
  • L'alignement COBIT®, ITIL® et ISO 27002.

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l'ISO.
  • Les standards BS 7799, leurs apports à l'ISO.
  • Les normes actuelles (ISO 27001, 27002).
  • Les normes complémentaires (ISO 27005, 27004, 27003...).
  • La convergence avec les normes de qualité 9001 et environnement 14001.
  • L'apport des qualiticiens dans la sécurité.

La norme ISO 27001:2013

  • Définition d'un Système de Gestion de la Sécurité des Systèmes (ISMS).
  • Objectifs à atteindre par votre SMSI.
  • L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
  • La norme ISO 27001 intégrée à une démarche qualité type SMQ.
  • Détails des phases Plan-Do-Check-Act.
  • De la spécification du périmètre SMSI au SoA (Statement of Applicability).
  • Les recommandations de l'ISO 27001 pour le management des risques.
  • De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2018.
  • L'apport des méthodes EBIOS et MEHARI dans leur démarche d'appréciation.
  • L'adoption de mesures de sécurité techniques et organisationnelles efficientes.
  • Les audits internes obligatoires du SMSI. Construction d'un programme.
  • L'amélioration SMSI. La mise en œuvre d'actions correctives et préventives.
  • Les mesures et contre-mesures des actions correctives et préventives.
  • L'annexe A en lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013

  • Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
  • Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
  • Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
  • La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
  • Exemples d'application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
  • De l'analyse de risques à la construction de la déclaration d'applicabilité.
  • Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
  • Intégration de mesures de sécurité au sein des développements spécifiques.
  • Les règles à respecter pour l'externalisation.
  • Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
  • Les rendez-vous "Sécurité" avant la recette.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • La recette du projet, comment la réaliser ? Test d'intrusion et/ou audit technique ?
  • Préparer les indicateurs. L'amélioration continue.
  • Mettre en place un tableau de bord. Exemples.
  • L'apport de la norme 27004.
  • La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...

Les audits de sécurité ISO 19011:2011

  • Processus continu et complet. Étapes, priorités.
  • Les catégories d'audits, organisationnels, techniques...
  • L'audit interne, externe, tierce partie. Choisir son auditeur.
  • Le déroulement type ISO de l'audit, les étapes clés.
  • Les objectifs d'audit, la qualité d'un audit.
  • La démarche d'amélioration pour l'audit.
  • Les qualités des auditeurs, leur évaluation.
  • L'audit organisationnel : démarche, méthodes.
  • Apports comparés, les implications humaines.

Les bonnes pratiques juridiques

  • La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
  • La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
  • Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.

La certification ISO de la sécurité du SI - La relation auditeur-audité

  • Intérêt de cette démarche, la recherche du "label".
  • Les critères de choix du périmètre. Domaine d'application. Implication des parties prenantes.
  • L'ISO : complément indispensable des cadres réglementaires et standards (SOX, ITIL®...).
  • Les enjeux économiques escomptés.
  • Organismes certificateurs, choix en France et en Europe.
  • Démarche d'audit, étapes et charges de travail.
  • Norme ISO 27006, obligations pour les certificateurs.
  • Coûts récurrents et non récurrents de la certification.
Participants / Prérequis

» Participants

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs "audités".

» Prérequis

Connaissances de base de la sécurité informatique.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
Avis vérifiés
picto avis vérifiés
FOURNIER J. 07/10/2019
5 / 5
Très bien construit

Papa S. 07/10/2019
5 / 5
Les deux intervenants étaient très pédagogiques. Et en mesure de captiver l'attention

GONCALVES 07/10/2019
5 / 5
Parfait, manque un peu de pratique

khadija S. 07/10/2019
5 / 5
J'ai appris beaucoup de choses qui vont me servir dans la mise en place de mes projets tout en respectant l'ISO

JIMENEZ C. 07/10/2019
4 / 5
Très bien, mais peut-être alterner davantage d'exemples avec la théorie.

Eric F. 07/10/2019
4 / 5
Manque d'exemple concrets. J'aurais souhaité avoir des documents exemples (rapport d'audit, grillés, ....)

JULIEN P. 07/10/2019
5 / 5
On avance à un bon rythme. L'ajout d'un cas pratique «fil-rouge» pourrait être utile. Le ton à la fois sérieux et convivial est appréciable.

menigoz c. 07/10/2019
3 / 5
Trop peu de temps sur la 27001, 1 journée sur 3 alors que cest le nom de la formation Trop peu d'interaction

Amandine C. 07/10/2019
4 / 5
Un peu plus de cas pratiques serait apprécié.

Lalanne 26/08/2019
4 / 5
Il commente bien les normes et est un bon support de compréhension

Camille A. 26/08/2019
4 / 5
Bonne formation

Sylvain R. 26/08/2019
4 / 5
Globalement satisfait. Leq formateurs connaissaient très bien leur sujet. Les deux premiers jours : très magistral, rythme un peu trop rapide, difficile à tenir. Une idée : ajouter des questions posées à l'audience pour valider leur compréhension Le jour 3 sur ISO27002, j'ai apprécié qu'il y ait plus d'interaction, mais je trouvais que par moments le cours s'éloignait de la norme

Matthieu L. 26/08/2019
5 / 5
Bonne animation et échanges nombreux

Agnès T. 26/08/2019
5 / 5
Certains slides écriture petite

Lucas W. 26/08/2019
5 / 5
Formateurs excellents pédagogues, formation rythmée et ouverte - Contenu pertinent

KOEGLER J. 03/06/2019
4 / 5
Manque d'exemples sur la partie 27001. Très bien dur 27002 et Audit

THIERRY D. 03/06/2019
4 / 5
Partie étude de cas / pratique manquante pour les personnes effectuant uniquement la première partie des 3 jours.

Michael H. 03/06/2019
4 / 5
Cours trop rapide et trop théorique

Thibault P. 03/06/2019
4 / 5
Ne serait il pas possible de faire une formation sur l'implémentation de la norme iso27001 et une autre sur l'audit de cette même norme afin d'avoir une formation plus spécifique par rapport aux attentes et objectifs de chacun ?

Benoît C. 03/06/2019
4 / 5
Qq améliorations possibles : ordonnancement des sujets (commencer par 27001 et non 27002) Intégrer plus d'exercices au cours de la formation. Il serait bon d'avoir une formation en 5 j qui vise la certification dès le début
Avis client 4,4 / 5

Les avis client sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[+]
PARIS
[+]
LILLE
[+]
LYON
[+]
TOULOUSE

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.
En poursuivant votre navigation, vous acceptez l’utilisation de cookies nous permettant de vous proposer des offres correspondant à vos centres d’intérêt.
En savoir plus sur l’usage des cookies…   ✖ Fermer
linkedin orsys
twitter orsys
it! orsys
instagram orsys
pinterest orsys
facebook orsys
youtube orsys